운영사의 S/W공급망 보안관리를 위한 역할과 공개용 웹사이트(https://sbomvul.wikisecurity.net)


1. S/W공급망보안을 위한 개발사(개발조직)과 운영사(운영조직)간 역할

- S/W Supply Chain에서 Open Source의 보안과 컴플라이언스 관리를 위해 S/W Vendor와 User는 그 역할이 분담되는 관리체계를 고려해야 한다.
- S/W Vendor는 개발된 S/W에 사용된 Open source의 내용을 SBOM 규격으로 생성하고 라이선스 문제와 보안 취약점을 제거하여 배포하는 역할을 담당한다.
- S/W User는 Vendor에게 받은 SBOM을 활용하여 신규로 알려지는 보안 취약점과 라이선스 문제를 정기적으로 체크하여 관련 Compliance를 대응하는 역할을 담당한다.
- S/W User의 입장에서, Vendor에게 제공받은 SBOM과 보안 취약점 제거 결과는 SW를 수령하는 도중이나 사용하는 도중에 보안 취약점이 새롭게 알려지는 상황이 될수 밖에 없다.
- 즉, S/W Vendor의 SBOM생성 주기와 보안 취약점이 알려지는 주기가 다르기 때문에 S/W User는 Vendor가 제공하는 SBOM에 등록된 Open Source에 대한 보안취약점을 정기적으로 체크하고 위험평가하여 Compliance와 Threat에 대응하는 것이 현명한 방법이다.
개발사(개발조직)과 운영사(운영조직)간 역할

2. S/W운영사를 위한 SBOM보안 취약점 스캐너

- S/W User가 S/W Supply Chain보안에 대한 비용 효과적인 전략 중에 하나는 SBOM Vulnerability Scanner와 조직이 운영하고 이는 SCM(Software Configuration Management) 시스템을 연동하여 S/W Supply Chain보안 Compliance와 Threat에 대응하는 것이다.
- 즉, S/W Vendor에게 받은 SBOM을 정기적으로 보안 취약점 스캔을 하여 모니터링 및 취약점 제거 요청을 하기 위한 SBOM Vulnerability Scan 엔진을 사용하고, 조직에서 사용하는 SCM시스템을 이용하여 제조사가 제공한 SBOM 파일과 취약점 스캔결과파일에 대한 형상을 유지관리하는 것이다.
S/W운영사의 SBOM,취약점 관리 개념도

3. SBOM OSS 취약점 스캐닝 웹사이트

사용법: SBOM취약점스캐너 https://sbomvul.wikisecurity.net/
Step 1. 텍스트 상자를 클릭하여 Windows 탐색창으로 JSON 형식의 SBOM 파일을 선택한다.
Step 2. 'SUBMIT' 버튼을 클릭하여 선택한 SBOM 파일을 서버에게 제출한다.
Step 3. 제출된 SBOM 파일에서 오픈 소스 패키지에 대한 보안 취약점 검사 결과를 확인한다.
sbom취약점스캐너웹사이트.jpg